Anulación de acciones de grupos de reglas en AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Anulación de acciones de reglas de un grupo de reglasAnulación de la acción de retorno del grupo de reglas para Count

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Anulación de acciones de grupos de reglas en AWS WAF

Esta sección explica cómo anular las acciones de un grupo de reglas.

Cuando agrega un grupo de reglas a su ACL web, puede anular las acciones que realiza cuando las solicitudes web coinciden. Si se anulan las acciones de un grupo de reglas en la configuración de la ACL web, no se altera el grupo de reglas en sí. Solo altera la forma en que AWS WAF utiliza el grupo de reglas en el contexto de la ACL web.

Anulación de acciones de reglas de un grupo de reglas

Puede anular las acciones de las reglas dentro de un grupo de reglas para cualquier acción de regla válida. Al hacerlo, las solicitudes coincidentes se gestionan exactamente como si la acción de regla configurada fuera la configuración de anulación.

nota

Las acciones de la regla pueden ser de finalización o no. Una acción de finalización detiene la evaluación de la solicitud por parte de la ACL web y permite que continúe con la aplicación protegida o la bloquea.

Estas son las opciones de la acción de la regla:

  • Allow: AWS WAF permite que la solicitud se reenvíe al recurso protegido AWS para su procesamiento y respuesta. Se trata de una acción de finalización. En las reglas que defina, puede insertar encabezados personalizados en la solicitud antes de reenviarla al recurso protegido.

  • Block: AWS WAF bloquea la solicitud. Se trata de una acción de finalización. De forma predeterminada, el recurso protegido de AWS responde con un código de estado HTTP 403 (Forbidden). En las reglas que defina, puede personalizar la respuesta. Cuando AWS WAF bloquea una solicitud, la configuración de la acción Block determina la respuesta que el recurso protegido envía al cliente.

  • Count: AWS WAF cuenta la solicitud, pero no determina si se va a permitir o bloquear. Se trata de una acción no terminal. AWS WAF continúa procesando las reglas restantes en la ACL web. En las reglas que defina, puede insertar encabezados personalizados en la solicitud y puede agregar etiquetas con las que puedan coincidir otras reglas.

  • CAPTCHA y Challenge: AWS WAF utiliza rompecabezas de CAPTCHA y desafíos silenciosos para comprobar que la solicitud no proviene de un bot y AWS WAF utiliza tokens para hacer un seguimiento de las respuestas recientes de los clientes que han obtenido buenos resultados.

    Los rompecabezas de CAPTCHA y los desafíos silenciosos solo se pueden ejecutar cuando los navegadores acceden a los puntos de conexión HTTPS. Los clientes del navegador deben ejecutarse en contextos seguros para poder adquirir los tókenes.

    nota

    Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para más información, consulte Precios de AWS WAF.

    Estas acciones de regla pueden ser de finalización o no, según el estado del token de la solicitud:

    • No finalización para un token válido y vigente: si el token es válido y vigente según el tiempo de inmunidad configurado para el CAPTCHA o desafío, AWS WAF gestiona la solicitud de forma similar a la acción Count. AWS WAF sigue inspeccionando la solicitud web según las reglas restantes en la ACL web. Al igual que en la configuración de Count, en las reglas que defina, puede configurar opcionalmente estas acciones con encabezados personalizados para insertarlos en la solicitud y puede agregar etiquetas con las que puedan coincidir otras reglas.

    • Finalización con una solicitud bloqueada para un token no válido o caducado: si el token no es válido o la marca de tiempo indicada ha caducado, AWS WAF finaliza la inspección de la solicitud web y bloquea la solicitud, de forma similar a la acción Block. Entonces, AWS WAF responde al cliente con un código de respuesta personalizado. Para CAPTCHA, si el contenido de la solicitud indica que el navegador del cliente puede gestionarlo, AWS WAF envía un rompecabezas de CAPTCHA en un intersticial de JavaScript, que está diseñado para distinguir a los clientes humanos de los bots. Para la acción Challenge, AWS WAF envía un intersticial de JavaScript con un desafío silencioso diseñado para distinguir los navegadores normales de las sesiones que están siendo ejecutadas por bots.

    Para obtener información adicional, consulte CAPTCHA y Challenge en AWS WAF.

Para obtener información acerca de cómo utilizar esta acción, consulte Invalidar acciones de reglas en un grupo de reglas.

Anulación de la acción de regla para Count

El caso de uso más común para anular las acciones de reglas es anular algunas o todas las acciones de la regla para Count, con el fin de probar y supervisar el comportamiento de un grupo de reglas antes de ponerlo en producción.

También puede utilizar esto para solucionar problemas relacionados con un grupo de reglas que esté generando falsos positivos. Los falsos positivos se producen cuando un grupo de reglas bloquea el tráfico que no se espera que bloquee. Si identifica una regla dentro de un grupo de reglas que bloquee solicitudes que desea permitir, puede mantener la anulación de la acción de recuento en esa regla para evitar que actúe sobre sus solicitudes.

Para obtener más información acerca de cómo utilizar la anulación de la acción de las reglas en las pruebas, consulte Pruebas y ajustes de sus protecciones de AWS WAF.

Lista de JSON: RuleActionOverrides reemplaza a ExcludedRules

Si estableció las acciones de reglas del grupo de reglas en Count en su configuración de ACL web antes del 27 de octubre de 2022, AWS WAF guardó las anulaciones en el archivo JSON de ACL web como ExcludedRules. Ahora la configuración JSON para anular una regla en Count se encuentra en la configuración RuleActionOverrides.

Al utilizar la consola de AWS WAF para editar la configuración del grupo de reglas existente, la consola convierte automáticamente cualquier configuración de ExcludedRules en JSON en configuración de RuleActionOverrides, con la acción de anulación establecida en Count.

  • Ejemplo de configuración actual: 

           "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "RuleActionOverrides": [
            {
              "Name": "AdminProtection_URIPATH",
              "ActionToUse": {
                "Count": {}
              }
            }
          ]

  • Ejemplo de configuración anterior: 

    OLD SETTING
       "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "ExcludedRules": [
            {
              "Name": "AdminProtection_URIPATH"
            }
          ]
OLD SETTING

Le recomendamos que actualice todas las configuraciones de ExcludedRules de sus listas JSON a las configuraciones de RuleActionOverrides con la acción establecida en Count. La API acepta cualquier configuración, pero si solo utiliza la nueva configuración de RuleActionOverrides, conseguirá coherencia en sus listas JSON entre el trabajo de la consola y el de la API.

Anulación de la acción de retorno del grupo de reglas para Count

Puede anular la acción que devuelve el grupo de reglas, configurándola en Count.

nota

Esta no es una buena opción para probar las reglas de un grupo de reglas, ya que no altera la forma en que AWS WAF evalúa el propio grupo de reglas. Solo afecta a la forma en que se AWS WAF gestiona los resultados que se devuelven a la ACL web a partir de la evaluación del grupo de reglas. Si desea probar las reglas de un grupo de reglas, utilice la opción descrita en la sección anterior, Anulación de acciones de reglas de un grupo de reglas.

Al sustituir la acción del grupo de reglas por Count, AWS WAF procesa la evaluación del grupo de reglas con normalidad.

Si ninguna regla del grupo de reglas coincide o si todas las reglas coincidentes tienen una acción Count, esta anulación no afecta al procesamiento del grupo de reglas ni a la ACL web.

La primera regla del grupo de reglas que coincide con una solicitud web y que tiene una acción de regla de finalización hace que AWS WAF deje de evaluar el grupo de reglas y devuelva el resultado de la acción de finalización al nivel de evaluación de la ACL web. En este punto, en la evaluación de la ACL web, esta anulación entra en vigor. AWS WAF anula la acción de finalización para que el resultado de la evaluación del grupo de reglas sea solo una acción Count. Entonces, AWS WAF continúa procesando el resto de las reglas de la ACL web.

Para obtener información acerca de cómo utilizar esta acción, consulte Sustitución del resultado de la evaluación de un grupo de reglas por Count.